Configurer le sélecteur de personnes dans SharePoint Server
S’APPLIQUE À :2010 2013 2019 Subscription Edition
Le sélecteur de personnes peut être configuré pour une batterie de serveurs au niveau de la zone à l’aide de l’opération stsadm setproperty . En configurant les paramètres de ce contrôle, vous pouvez filtrer et restreindre les résultats affichés lorsqu’un utilisateur recherche un utilisateur, un groupe ou une revendication. Ces paramètres s’appliqueront à chaque site dans la collection de sites.
Les informations de cet article s’appliquent uniquement aux applications Web qui utilisent l’authentification Windows en mode classique ou en mode de revendications.
Le contrôle Sélecteur de personnes est utilisé pour rechercher et sélectionner des utilisateurs, des groupes et des revendications lorsqu’un propriétaire de site, de liste ou de bibliothèque attribue des autorisations dans Microsoft SharePoint Server. Pour plus d’informations sur les propriétés du sélecteur de personnes, consultez Peoplepicker : propriétés Stsadm.
Notes
Il n’existe aucune commande Windows PowerShell pour configurer le sélecteur de personnes dans SharePoint Server 2010, SharePoint Server 2013, SharePoint Server 2016 ou SharePoint Server 2019. Toutefois, vous pouvez utiliser les commandes PowerShell pour configurer le sélecteur de personnes dans SharePoint Édition d’abonnement. Pour plus d’informations, voir Configurer le sélecteur de personnes dans SharePoint Subscription Edition.
Cet article contient des informations sur la configuration du sélecteur de personnes pour des scénarios spécifiques. Pour plus d’informations sur le contrôle Sélecteur de personnes et son fonctionnement, sa relation avec l’authentification et les fournisseurs de revendications, et la façon de planifier le sélecteur de personnes, consultez Vue d’ensemble du sélecteur de personnes et des fournisseurs de revendications.
Conditions préalables à la configuration du sélecteur de personnes
Vérifiez que les conditions suivantes sont remplies avant de configurer le sélecteur de personnes :
Vérifiez que le compte que vous utilisez pour exécuter
Stsadm
est membre du groupe Administrateurs local sur le serveur sur lequel SharePoint Server est installé.Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur pour effectuer les procédures décrites dans cet article.
Dans l’invite de commandes sur le pilote où SharePoint Server est installé, accédez au répertoire suivant :
%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin
.Notes
Remplacez la valeur de mappage de nombre, c’est-à-dire « x » dans le répertoire en fonction de la version de SharePoint que vous avez installée. Voici les versions de SharePoint et leurs valeurs de mappage de nombre respectives :
- SharePoint 2010 : 14
- SharePoint 2013 : 15
- SharePoint 2016 et SharePoint 2019 : 16
Configuration des paramètres du sélecteur de personnes
Une fois les conditions préalables remplies, vous pouvez effectuer les procédures suivantes :
- Vérifier la valeur de paramètre pour toute propriété
- Supprimer une valeur de propriété du sélecteur de personnes
- Définir une clé de chiffrement à utiliser avec une approbation à sens unique
- Permettre les requêtes sur plusieurs forêts ou domaines avec une approbation à sens unique
- Restreindre le sélecteur de personnes sur un certain groupe dans Active Directory
- Définir l'emplacement des comptes d'administrateur
- Forcer le sélecteur de personnes à choisir uniquement parmi les utilisateurs de la collection de sites
- Filtrer les comptes Active Directory à l'aide de requêtes LDAP
- Retourner uniquement des comptes d’utilisateurs qui ne sont pas Active Directory
Vérifier la valeur de chaque propriété
Pour vérifier la valeur d’une propriété du sélecteur de personnes, tapez la commande suivante :
stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>
Pour plus d'informations, voir Peoplepicker : propriétés Stsadm.
Effacer la valeur d’une propriété du sélecteur de personnes
Vous pouvez supprimer le paramètre d’une propriété Sélecteur de personnes en spécifiant le nom de la propriété à effacer et en utilisant des guillemets vides pour la valeur de la propriété.
Pour supprimer le paramètre d'une propriété du sélecteur de personnes, tapez la commande suivante :
stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>
Pour plus d'informations, voir Peoplepicker-searchadforests : propriété Stsadm.
Définir une clé de chiffrement à utiliser avec une approbation à sens unique
Si la forêt ou le domaine sur lequel SharePoint Server est installé a une approbation unidirectionnelle avec une autre forêt ou domaine, vous devez d’abord définir les informations d’identification du compte autorisé à s’authentifier auprès de la forêt ou du domaine à interroger avant de pouvoir utiliser la propriété Stsadm peoplepicker-searchadforests .
Notes
La clé de chiffrement doit être définie sur chaque serveur Web frontal de la batterie de serveurs sur laquelle SharePoint Server est installé.
Pour définir une clé de chiffrement, tapez la commande suivante :
stsadm.exe -o setapppassword -password <key>
Permettre les requêtes sur plusieurs forêts ou domaines avec une approbation à sens unique
Si la forêt ou le domaine sur lequel SharePoint Server est installé a une approbation unidirectionnelle avec une autre forêt ou domaine, vous devez spécifier les informations d’identification à utiliser pour interroger la forêt ou le domaine, en plus des noms des forêts ou domaines à interroger. Le sélecteur de personnes n'envoie de requêtes qu'aux forêts ou domaines que vous spécifiez dans la propriété peoplepicker-searchadforests.
Pour spécifier les forêts ou domaines à interroger avec les informations d’identification, tapez la commande suivante :
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>
Notes
Vous n’avez pas besoin d’inclure le mot de passe de clé de chiffrement que vous avez affecté au compte lors de l’utilisation de la propriété peoplepicker-searchadforests . Cependant, si vous n’avez pas encore défini de clé de chiffrement pour le compte, un message d’erreur s’affichera.
L'exemple suivant illustre comment configurer le sélecteur de personnes pour l'utiliser avec une forêt, appelée Contoso.com, et un domaine, appelé Fabrikam.com, et inclut les informations d'identification pour chacun d'entre eux :
sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
Pour plus d'informations, voir Peoplepicker-searchadforests : propriété Stsadm.
Restreindre le sélecteur de personnes sur un certain groupe dans Active Directory
Si une application Web utilise l’authentification Windows et que le chemin d’accès au répertoire de l’utilisateur du site n’est pas défini, le contrôle Sélecteur de personnes recherche l’intégralité d’Active Directory pour résoudre les noms des utilisateurs ou rechercher des utilisateurs, au lieu de rechercher uniquement les utilisateurs au sein d’une unité d’organisation (UO) particulière. L'opération Stsadm setsiteuseraccountdirectorypath permet de définir le chemin d'accès au répertoire de l'utilisateur sur une unité d'organisation spécifique dans le même domaine. Une fois le chemin d'accès au répertoire défini sur une collection de sites, le contrôle Sélecteur de personnes effectue les recherches uniquement dans cette unité d'organisation particulière.
Pour limiter le sélecteur de personnes à une unité d'organisation particulière dans Active Directory, tapez la commande suivante :
stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>
L'exemple suivant illustre comment configurer le sélecteur de personnes pour qu'il renvoie uniquement les utilisateurs et les groupes appartenant à l'unité d'organisation appelée Ventes :
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
Notes
Un seul chemin d’accès d’annuaire des utilisateurs du site peut être défini à la fois pour une collection de sites. Par conséquent, cette propriété spécifie une seule unité d’organisation à la fois, et vous devez exécuter l’opération Stsadm setsiteuseraccountdirectorypath une seule fois par collection de sites.
Pour plus d'informations, voir Setsiteuseraccountdirectorypath : opération Stsadm.
Définir l’emplacement des comptes administrateurs
Les comptes utilisateurs d’administration sont souvent dans une unité d’organisation différente de celle des utilisateurs normaux du site. Si vous avez utilisé l’opération Stsadm setsiteuseraccountdirectorypath pour forcer le sélecteur de personnes à retourner uniquement la requête résultant d’une unité d’organisation spécifique, vous devez également définir la propriété Stsadm peoplepicker-serviceaccountdirectorypaths afin que l’administrateur puisse gérer la collection de sites.
Notes
Avant que la propriété peoplepicker-serviceaccountdirectorypaths fonctionne, l’opération Setsiteuseraccountdirectorypath doit être définie pour contenir une valeur.
Pour définir l'emplacement des comptes d'administrateur, tapez la commande suivante :
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>
L’exemple suivant configure le sélecteur de personnes pour autoriser des utilisateurs de la même unité d’organisation nommée FarmAdmin :
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
Pour plus d’informations, consultez Peoplepicker-serviceaccountdirectorypaths : propriété Stsadm).
Forcer le sélecteur de personnes à choisir uniquement parmi les utilisateurs dans la collection de sites
Le contrôle Sélecteur de personnes se compose d’une zone de texte et de deux boutons, tels que le bouton Vérifier les noms et le bouton Parcourir .
- Le bouton Vérifier les noms permet de résoudre un nom d’utilisateur, un nom de groupe ou une adresse de messagerie exactement comme si cela avait été tapé dans la zone de texte.
- Le bouton Parcourir ouvre la boîte de dialogue Sélectionner des personnes et des groupes, qui permet de soumettre une requête sur une chaîne complète ou partielle.
La principale différence entre les deux est que le bouton Vérifier les noms résout uniquement exactement ce qui se trouve dans la zone de texte, tandis que la boîte de dialogue Sélectionner des personnes et des groupes recherche la chaîne de requête. Vous pouvez forcer le sélecteur de personnes à ne renvoyer que les utilisateurs qui disposent d'autorisations dans la collection de sites en utilisant la propriété PeoplePicker-Peopleeditoronlyresolvewithinsitecollection ou PeoplePicker-Onlysearchwithinsitecollection. Cependant, la propriété que vous utilisez pour configurer cette restriction dépend de la cible pour laquelle vous définissez la restriction, c’est-à-dire la zone de texte (éditeur de personnes) et le bouton Vérifier les noms, ou la boîte de dialogue Sélectionner des personnes et des groupes.
Pour forcer le sélecteur de personnes à ne retourner que des utilisateurs ayant des autorisations sur la collection de sites lorsqu’on clique sur le bouton Vérifier les noms, tapez la commande suivante :
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>
Pour forcer le sélecteur de personnes à ne retourner que des utilisateurs ayant des autorisations sur la collection de sites lorsqu’on utilise la boîte de dialogue Sélectionner des personnes et des groupes, tapez la commande suivante :
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>
Pour plus d’informations, consultez Peoplepicker-onlysearchwithinsitecollection : propriété Stsadm et Peoplepicker-peopleeditoronlyresolvewithinsitecollection : Propriété Stsadm.
Filtrer les comptes Active Directory en utilisant des requêtes LDAP
Vous pouvez utiliser une requête LDAP (Lightweight Directory Access Protocol) pour créer un filtre personnalisé pour afficher les résultats de la requête. Pour plus d'informations sur les requêtes LDAP, voir Concepts relatifs aux requêtes LDAP.
Pour utiliser une requête LDAP personnalisée, tapez la commande suivante :
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>
L’exemple suivant filtre les comptes d’utilisateur qui n’ont pas d’adresses de messagerie ou qui sont désactivés. Étant donné que les groupes de sécurité n’ont pas toujours d’adresses de messagerie associées, une instruction OR est utilisée pour garantir que les groupes de sécurité sont toujours inclus dans les résultats de la requête :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
Dans l'exemple suivant, seuls les utilisateurs actifs sont renvoyés et pas les groupes :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
Pour obtenir une explication de la chaîne de contrôle de compte d’utilisateur utilisée dans cette requête, consultez Syntaxe du filtre de recherche.
L’exemple suivant retourne une liste d’utilisateurs Active Directory ayant le titre « Manager » :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
Importante
N’oubliez pas que chaque fois que vous exécutez la setproperty
commande pour une propriété spécifique, les valeurs actuelles de cette propriété sont remplacées par les nouvelles valeurs que vous spécifiez. Si vous devez filtrer les résultats de requête en fonction de plusieurs critères, vous devez générer une requête LDAP composée qui inclut toutes les valeurs à filtrer.
Pour plus d'informations, voir Peoplepicker-searchadcustomfilter : propriété Stsadm.
Retourner uniquement des comptes d’utilisateurs qui ne sont pas Active Directory
Si votre application Web utilise l’authentification basée sur les formulaires, vous pouvez empêcher le sélecteur de personnes de retourner des comptes Active Directory dans les résultats de requête.
Pour retourner uniquement des comptes utilisateurs qui ne sont pas Active Directory, tapez la commande suivante :
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>
Pour plus d'informations, voir Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode : propriété Stsadm.